Mozilla：安全研究人员控制着漏洞的披露

　　北京时间3月26日消息，Mozilla公司首席安全官在星期六表示，一提到漏洞披露，软件厂商们就必须看专业查漏安全研究员的脸色了。

　　多年以来，软件业界在漏洞披露方面一直坚持着一定的准则。在参加星期六的ShmooCon黑客大会时，Mozilla公司首席安全官温道施奈德在一次小组讨论中说，软件业界提倡的“负责任的披露”确实收到了一定的效果，但是漏洞的披露仍然操纵在安全研究员的手中。

　　施奈德说：“安全研究员们掌握了主动权。他们控制着披露漏洞的时间以及厂商们是否及时作出了回应。”
　　
　　这么多年来，发布安全漏洞细节一直就是个热门话题。软件业界提倡安全研究员们秘密地披露漏洞资料，而且在他公开披露漏洞资料之前给软件厂商们留下足够的时间来修复有关的漏洞。软件业界将这种披露漏洞的行为称作是“负责任的披露”。 毕竟，过早地公开披露漏洞资料可能会有助于网络罪犯们发起网络攻击并有损软件厂商的名誉。

　　但是那些遵守软件业界准则的安全研究员们通常会因为得不到软件厂商的反馈而感到恼火。另一点倍受批评的是软件厂商们在发布补丁并嘉奖安全研究员方面太拖沓了。

　　施奈德说：“软件厂商们有责任对安全研究员们报告给它们的东西作出回复。”施奈德以前曾经在微软公司工作过。

　　但是并非所有安全研究员都会做到负责任的披露。Immunity安全软件公司的达夫艾特尔说，这是软件厂商们在玩把戏。 他说：“负责任的披露是一种营销概念。这个概念被微软和其他软件厂商们玩弄于股掌之中，它们希望通过它来控制漏洞的披露。”

　　艾特尔希望专业查漏研究员们不要将漏洞信息报告给软件厂商而是将漏洞信息卖给他。Immunity公司向专业查漏研究员们购买各种安全漏洞细节资料，然后将它们用于自己的产品中，包括其入侵测试工具中。

　　安全测试公司Veracode的首席技术官和创始人克里斯韦守宝发表了不同的见解，他说专业查漏研究员们并非总是控制着漏洞的披露。他说：“我们面临着很多威胁。 在受到威胁的情况下工作和生活并不是一件容易的事情。”

　　TippingPoint公司的安全研究经理罗希特达曼卡说，如果软件厂商向安全研究员采取法律行动，那么后果就不堪设想了。

　　达曼卡说：“有一些厂商比较狡猾，比如Mozilla和微软，还有一些厂商则根本不知道如何办才好。”TippingPoint公司也付费向安全研究员们购买各种漏洞细节资料，最近该公司接到某门户网站威胁说要将它告上法庭。

　　为了获得超过竞争对手的竞争优势，许多安全公司比如Immunity和TippingPoint都采取了向安全研究员购买软件安全漏洞的行为。这样在软件厂商发布官方补丁之前，它们的产品就可以比其他公司的产品抢先一步检测出问题。

　　韦守宝说，最终那些安全漏洞就不会被公开披露也就得不到修复。他说：“负责任的披露报告将发往软件厂商，但是如果那个隐患信息不被公开披露的话，你就会发现软件厂商根本就没有努力去修复那些漏洞。” “只有将漏洞公开披露，才能促使软件厂商修复它们。”
　　
　　Mozilla公司的施奈德说，给软件厂商留出30天的期限是一个比较合适的时间限制，他建议所有的专业查漏研究员都遵守这一准则来披露漏洞信息。

　　他说：“我对专业查漏研究员们的工作表示感谢，我对他们在公开披露漏洞信息之前先将漏洞信息报告给软件厂商表示感谢，我建议查漏研究员们给软件厂商留出30天的时间来修复那些漏洞。”